Jetzt patchen oder zwangsgepatcht werden – QNAP verteilt ungefragt Updates

    Ich kann diese Diskussion bzgl. QNAP an der Stelle nicht nachvollziehen, für mich ist das kein Skandal sondern eine logische Konsequenz.

    QTS ist alles andere als ein gehärtetes Betriebssystem, genau ein solches erwarte ich aber in einem Gerät das im Internet hängt (Router, Firewall etc.). Genau bei diesen Geräten habe ich jede nur irgendwie mögliche Option deaktiviert sich selbst irgendwelche Updates zu ziehen. Machen die auch nicht.


    Wieso sollte ich meiner QNAP erlauben, eigenständig eine Verbindung ins Internet aufzubauen? Meine NAS ist Storage, auf diesen greifen irgendwelche anderen Dienste, Services, PCs, VMs, what ever zu. Ich bin also darauf angewiesen, dass die durchgängig läuft. Um dies zu erreichen muss ich sicherstellen, dass kein Service innerhalb der NAS eigenständig irgendwas macht, was ich nicht will. Da ich nicht kontrollieren kann, was beim Updatecheck, beim MR, bei irgendeiner installierten App auf der NAS passiert, gebe ich ihr schlicht garkeinen Zugang ins Netz. Braucht sie auch nicht.


    Ja, auch ich war faul und bequem, wenn ich etwas updaten wollte, habe ich das in der Vergangenheit ebenfalls "direkt" von der NAS aus getan - der NAS für diesen Vorgang kurzzeitig den Zugang ins Net gewährt und Updates direkt gezogen. Für die Firmware habe ich das nicht getan (QFinder), aber für Apps sehr wohl. Seit dem Neuinstallations-Desaster (Virtu-Station zurückgezogen) mache ich aber selbst das nicht mehr - App-Updates auch nur noch manuell. Ich habe also meinen inneren Schweinehund überwunden und bin eben nicht mehr bequem.


    ich kann die Denkweise von QNAP an der Stelle nachvollziehen. Die Überlegung ist in meinen Augen seitens QNAP: "Ja, man kann die ins Netz hängen, wenn man weiß was man tut". Vom Zwangsupdate wurden alle die "beglückt" die eben - in irgendeiner Weise - nicht wussten was sie tun. Da habe ich (so leid es mir tut) tatsächlich kein Mitleid. Schon gleich gar nicht mit den Meldungen "Da kam ein Update während ich mit bezahltem Entschlüsselungskey meine Daten zurückgeholt hab". Da kräuseln sich mir die Zehennägel: Meine NAS wurde Opfer eines solchen Angriffs und die hängt IMMERNOCH am Netz? Wie dumm/ignorant muss ich eigentlich sein. Genau das Selbe bei den Meldungen bzgl. iSCSI (was ich selbst für meinen ESXi nutze): Ein so genutzter Storage gehört nicht ans Netz. Gar nicht. Niemals. Wenn ich eine NAS als solchen Storage nutze dann muss ich mir über die Konsequenzen im klaren sein. Sie ist kein Spielzeug mehr. Wer sie dennoch wie ein solches behandelt, der muss auch mit den möglichen Folgen (totaler Datenverlust) leben.



    Gruß,


    Lauri

    Für die meisten ist ein NAS aber kein Storage mehr (das kommt so nebenbei) sondern eine eierlegende Wollmilchsau, die alles können muss und das am besten umsonst und ohne Bugs mit lebenslangem kostenlosem Updates und persönlichem kostenlosen Support.


    Aber QNAP´s Werbung suggeriert vieles davon, deswegen kann ich auch die verstehen die davon wenig bis keine Ahnung haben.

    Zitat von unos

    Aber QNAP´s Werbung suggeriert vieles davon, deswegen kann ich auch die verstehen die davon wenig bis keine Ahnung haben.

    Das ist das Problem: Das was "gehört" wird und das was "gesagt" wird, sind leider 2 verschiedene Paar Schuhe. QNAP sagt:

    - unsere NAS-Geräte können das (wobei da nicht mal "alles gleichzeitig" steht)


    Der Anwender hört:

    - Die QNAP kann das alles gleichzeitig

    - Die QNAP macht das alles alleine

    - Die QNAP kümmert sich um die/meine Sicherheit

    - Die QNAP regelt alle Probleme die durch Updates entstehen können alleine

    - Ich muss mich mich um nichts kümmern


    Sicherlich ist die Kommunikation zur "Zwangsbeglückung" diskussionswürdig, aber ein Skandal sicherlich nicht. Es wurde am Ende nur der "Erwartungshaltung" bzgl. "QNAP kümmert sich um alles" entsprochen. Sie haben sich gekümmert. Und genau das ist jetzt der Skandal *schmunzelt


    P.S.:

    Und ja, natürlich ist das posting von mir ein wenig provokativ, war auch Absicht - einfach mal, um auch eine andere Sicht der Dinge zu präsentieren.



    Gruß,


    Lauri

    So ganz glücklich bin ich über die Funktionsweise auch nicht, weder bei QNAP, aber auch bei M$, die machen das leider genauso. Da hat es mir schon oft die laufende VM zerrissen, wenn über Nacht M$ mal wieder ein tolles Update samt Reboot durchgeführt hat. Unter Win10 ist das auch nicht einfach zu unterbinden. Das hat mich aber immer nur peripher geärgert, weil die VMs nicht wirklich produktiv sind.

    Aber von M$ weiß man das zumindest.

    Wenn aber im QTS alle Optionen bewußt deaktiviert worden sind, es aber trotzdem zu einem Update kommen kann, dann finde ich das auch ärgerlich.

    Ungeachtet der Folgen, die sind eigentlich zweitrangig. Allein die Möglichkeit finde ich nirgends dokumentiert.

    Dann dazu noch die vollmundige Aussage, das mit der 5.0.0.1891 das System geschützt sei, was nachweisbar nicht stimmt, da einige Betroffene diese Version bereits hatten, zeigt, das es eher eine Hau-Ruck Aktion war.

    Und ich denke auch, das sich QNAP damit keinen Gefallen getan hat.

    Aber Ansonsten stimme ich zu, wer QNAP (semi) professionell benutzt, der darf das NAS nicht ins Internet lassen und Zugriff von außen nur per VPN erlauben!


    Aber die TS-473A darf weiterhin "nach Hause telefonieren"... ;)


    Gruss

    Zitat von Laurenzis

    Wie dumm/ignorant muss ich eigentlich sein.

    Hmm. Auf jeden Fall noch nicht wissend. Aber wie heißt es doch so schön: Aus Schaden wird man klug. ...und dann wissend. Manch Einer muss es eben auf die schmerzhafte Weise lernen. Unwissenheit schützt leider nicht vor Schaden.

    Der Trugschluss ist, dass so ein NAS genau genommen eben kein Spielzeug ist, welches man mal eben mit einem 5 Minuten Tutorial perfekt und sicher konfigurieren kann. Leider kommt dann der Übermut und das NAS wird dann auch noch offen ins Internet gestellt. Funktioniert ja ... auch für die Schadsoftware. ;) Wir Admins sind ja schließlich schön blöde und machen eine langjährige Ausbildung, dabei geht das ja in 5 Minuten am Tablet, neben TV gucken. :evil:

    Es hat durchaus seinen Grund, wieso meine privaten NAS sich in einem physische getrennten Netzwerk befinden, ohne Internet. Vermutlich weil ich unfähig bin. :) Oder einfach zu wenig blauäugig. :evil:


    Das Thema Sicherheit ist ein sehr schwieriges Thema. Das benötigt einiges an Zeit sich da einzuarbeiten. Aber kann man alles lernen. Was von vielen übersehen wird, das Internet ist inzwischen zu einem Kriegsgebiet geworden. Wer nicht entsprechenden gerüstet und vorbereitet ist, geht darin unter, oder zumindest dessen Daten. Die schöne neue freie und tolle Internetwelt ist leider nur noch Wunschdenken und nur noch in Märchenbücher vorhanden.

    Zitat von Mavalok2

    Aber wie heißt es doch so schön: Aus Schaden wird man klug.

    Naja, scheinbar ja nicht ;) Das Zitat von Dir bezog sich ja genau auf den Fall - man fängt sich Deadbolt ein, zahlt das Lösegeld und während man seine NAS entschlüsselt kommt ein Zwangsupdate von QNAP - die NAS hängt also nach wie vor in irgendeiner Form am Netz. Zumindest das sehe ich an der Stelle dann wirklich als grob fahrlässig an. Ansonsten stimme ich Dir aber komplett zu.

    Zitat von Mavalok2

    Aus Schaden wird man klug. ...und dann wissend.

    Das gilt nicht für alle! Wenn ich im US Forum lese, wenn da geschrieben wird: "...ich war von Qlocker betroffen und jetzt Deadbolt..." :rolleyes:!


    Da fehlen einem schlicht die Worte.


    Gruss

    FSC830 Ich warte offen gestanden auf die Meldung "ich hab meine NAS entschlüsselt und bin jetzt das 2te Mal Deadbolt-Opfer" ;)

    Derjenige hat ja dann noch den Schlüssel vom ersten Mal. Kann ja nichts passieren. ;)


    Die Weisheit kommt nicht über Nacht. Bei manchen muss es eben ein bisschen mehr weh tun. Und machen wir uns nichts vor, bei einigen wird sie nie kommen. :evil:

    Kopf -> Tisch -> Kopf -> Tisch -> Kopf -> Tisch -> Kopf -> Tisch


    Sorry, aber mehr fällt mir zu dem verlinkten Thread echt nicht mehr ein.




    P.S.: Ich konnte meine Finger einfach nicht bei mir behalten und musste da antworten... sorry...

    Einmal editiert, zuletzt von Laurenzis ()

    Gefällt mir 5
    Zitat von Mavalok2

    bei einigen wird sie nie kommen.

    Worte großer Weisheit und Lebenserfahrung, und ich bin tatsächlich in mehreren Jahrzehnten u.a. im Anwendersupport längst zum gleichen Schluss gekommen :D


    Ersetze QNAP durch Microsoft und NAS durch Windows, dann wird es aber SOWAS von massentauglich :D

    Zitat von Laurenzis

    "Da kam ein Update während ich mit bezahltem Entschlüsselungskey meine Daten zurückgeholt hab". Da kräuseln sich mir die Zehennägel: Meine NAS wurde Opfer eines solchen Angriffs und die hängt IMMERNOCH am Netz?

    An dieser Stelle stimme ich dir nicht zu.


    Das NAS musste nicht frei erreichbar im Netz hängen. Das Zwangsupdate kam auch, wenn keine Portfreigaben vorhanden waren, wenn das NAS von außen nicht erreichbar war.


    Es reichte, wenn das NAS von sich aus Verbindung ins Internet aufbauen konnte. Das gilt als sicher. Der Malware Remover konnte Signaturen ziehen, und qts konnte auf Updates prüfen. Solange Qnap nicht gehackt wird oder selbst bösartig agiert, ist das ein vertretbares Risiko. Genaugenommen sollte das Risiko sogar geringer werden, denn sowohl der Malware Remover als auch Updates verbessern den Schutz gegen Angriffe.


    An der Stelle mache ich keinem NAS-Besitzer Vorwürfe.

    Langsam. Wenn ich eine Infektion auf meiner NAS habe UND soweit gehe "Lösegeld" zu zahlen, dann hat meine NAS ab diesem Moment ganz sicher keinen Internetzugang mehr - auch nicht von der NAS ins Netz! Das Lösegeld kann ja nur maximal zur Datensicherung dienen bevor ich die NAS völlig platt mache und von Grund auf neu installiere - inkl. DOM.


    Weiß ich denn, ob da nicht möglicherweise additiv Malware installiert wurde, die ihrerseits eine Verbindung "nach außen" aufmacht über die dann genau der Weg von außen nach innen möglich ist? Sorry, wer seine NAS NACH einem definitiven Befall nicht komplett vom Netz trennt (und zwar in beide Richtungen) der hat nichts verstanden - und wie andere schon schrieben - manchmal muss es scheinbar wirklich erst wehtun bis der Lerneffekt einsetzt. Mein Mitleid hält sich da nicht nur in Grenzen, es ist schlicht nicht vorhanden.


    Zitat von Digedag64

    Ersetze QNAP durch Microsoft und NAS durch Windows, dann wird es aber SOWAS von massentauglich

    Was die Sache aber mal sowas von nicht besser macht 8o8o8o

    Einmal editiert, zuletzt von Laurenzis ()

    Wenn die Sache tatsächlich so heiß ist und das Zwangsupdate dagegen hilft, dann soll's so sein. Die Basisfunktionionalität scheint ja nach wie vor gegeben zu sein. Ich denke jeder kann darauf verzichten verschlüsselt zu werden.


    Andererseits sind auch Server zwangsgeupdatet worden, die definitiv hinter einer Firewall sitzen.


    Würde mich aber interessieren wie QNAP hier bei den höherwertigen Geräten, die ja auch im Enterprise-Bereich eingesetzt werden wollen, vorgegangen ist.

    Ich denke der Unterschied liegt darin, ob man meint die Auto-Update Funktionen waren deaktiviert oder ob sie wirklich deaktiviert waren / sind. Ein Überprüfen könnte hier Klarheit verschaffen. Denn QNAP hat wirklich dazwischen diese Funktionen bei Updates wieder reaktiviert. Wer diese Funktion bei den letzten Updates nicht wieder gezielt deaktiviert hat, bei dem war wohl die eine oder andere Update-Funktion aktiviert und somit wurde das Update auch rechtens installiert. Ob das Reaktivieren des Auto-Updates so sinnvoll war, steht auf einem anderen Blatt, ist aber auch durchaus bei anderen Herstellern üblich. Deshalb überprüfe ich diese nach einem Update immer, wenn ich keine automatischen Updates will.

    Zitat von Laurenzis

    Wenn ich eine Infektion auf meiner NAS habe UND soweit gehe "Lösegeld" zu zahlen, dann hat meine NAS ab diesem Moment ganz sicher keinen Internetzugang mehr - auch nicht von der NAS ins Netz!

    Das wäre ja ansonsten wie einen positiven Corona-PCR-Test zu haben und trotzdem nicht in Isolation gehen (zumindest für Ottonormal).

    Mod: Unnötiges Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Es wäre schon nett gewesen, wenn einen QNAP bei einem Firmwareupdate darauf aufmerksam gemacht hätte, daß bestimmte Einstellungen wieder auf Werkszustand zurückgesetzt werden. Ich habe nicht die Zeit, mich ständig um derartiges zu kümmern und betrachte das NAS nur als Werkzeug, dessen Wartungsaufwand so gering wie möglich sein sollte.

    Aber ok: ich werde künftig auch darauf achten, daß die Autoupdate-Funktion ausgeschaltet ist -und bleibt.....

    Es ist sogar noch viel schlimmer: QNAP empfiehlt vor JEDEM Firmware-Update eine komplette Datensicherung durchzuführen!

    Entsprechend obliegt es doch dem Anwender zu prüfen, ob es irgendwelche Einstellungen gibt die sich durch das Update ändern - es kann doch durchaus sein, dass QNAP in einer neuen Version Einstellungen anpasst, ändert, löscht oder hinzufügt. Entsprechend geht man doch zumindest durch die für einen "wichtigen" Einstellungen und schaut, ob die nach wie vor wie gewünscht gesetzt sind und/oder es hier Änderungen gibt. Ich für meinen Teil habe auf der NAS zwar keine Firmendaten, dennoch sind mir diese so wichtig, dass ich Updates "plane" und entsprechend vorbereite (dazu gehört bei mir auch das geplante herunterfahren meines ESXi aufgrund der iSCSI-Anbindung, das trennen des iSCSI-Laufwerks meines PCs etc.). Nach dem Update schau ich mir durchaus an, ob es geänderte Einstellungen in den "für mich" relevanten Bereichen gibt und lese durchaus auch das Changelog. Eine NAS ist nun mal ein Serversystem und um das sollte man sich, zumindest rudimentär, kümmern.


    Gruß,


    Lauri

    Zitat von ErwinH1

    Es wäre schon nett gewesen, wenn einen QNAP bei einem Firmwareupdate darauf aufmerksam gemacht hätte, daß bestimmte Einstellungen wieder auf Werkszustand zurückgesetzt werden. ...

    Ich werte jetzt das prinzipielle Vorgehen nicht, aber das haben sie. Es stand in den Releasenotes der entsprechenden Firmware.